Salah satu hal yang tidak boleh dilakukan oleh seorang programmer adalah mengaliaskan file bahasa pemrograman PHP kedalam tipe file yang tidak dilindungi oleh webserver. Contoh, file koneksi, ataupun file fungsi yang menyimpan data-data penting dari web kita disimpan dalam file yang berektensi *.inc atau *.dat dan lain-lain dimana type file tersebut tidak dilindungi oleh webserver sehingga bisa diakses secara langsung dari browser, ini contoh beberapa programmer yang ceroboh membiarkan data rahasianya terbuka lebar di internet :
Hasil Pencarian Google Terhadap file yang tidak dilindungi
Atau cara mudahnya adalah anda buka situs google, lalu ketikkan ini : filetype:inc intext:”mysql_connect” site:id dalam form pencariannya. Maka hasilnya mencengangkan, masih saja ada programmer yang melakukan kesalahan itu.
Folder Yang Tidak Dilindungi
Selain masalah penyimpanan dalam type file yang tidak dilindungi oleh webserver, terkadang juga beberapa folder tidak kita lindungi sehingga orang bisa saja mengambil data images atau file download kita tanpa melalui halaman websites tapi langsung masuk ke folder yang dituju.Contoh :
http://barat.jakarta.go.id/images/
Coba kalo folder data penting yang diakses (yang harus melalui proses login), berarti disini ada kebocoran alias lobang besar dari sistem.
Cara Sederhana Melindungi Folder
Ada beberapa macam metode yang bisa dilakukan untuk melindungi folder dari pengakses yang tidak berizin tersebut, salah satunya dengan membuat file index.html didalam folder yang diinginkan, dan biarkan file index.html itu kosong, atau bisa juga diisi dengan tulisan peringatan bahwa folder ini dilarang untuk diakses. Karena secara default sebuah webserver akan mendeteksi file yang bernama index.html/index.htm sebagai halaman default yang akan diakses.
Perlindungan Menggunakan File .htaccess
Dalam konteks masalah utama diatas, dimana file connect.inc terbuka dan bisa diakses dari luar tidak bisa diatasi dengan metode sederhana. Tapi harus menggunakan metode lain yang lebih canggih yaitu dengan file .htaccessBuat sebuah file yang dinamakan .htaccess dalam folder yang akan dilindungi, lalu edit menggunakan notepad atau sejenisnya. Lalu ketikkan satu baris script ini :
deny from all
Cukup satu baris itu saja, kecuali anda sudah memahami benar penggunaan file .htaccess tersebut anda bisa mengkustomisasi hak akses pada folder tersebut.Jadi, cukuplah kekeliruan itu sampai disini, jangan pernah mengganti file PHP dengan ekstention yang aneh-aneh dengan maksud ingin bergaya, tapi walhasil justru nanti anda akan ditertawakan oleh komunitas pengguna PHP.
sumber kresnadi.web.id
Filed under: note
Trackback Uri
Recent Comments